Запрет запуска объектов

При интеграции с решениями Detection and Response в рамках действия по реагированию на угрозы приложение Kaspersky Industrial CyberSecurity for Linux Nodes может контролировать запуск исполняемых файлов и скриптов, а также открытие файлов офисных приложений на устройстве. Запрет запуска объектов поддерживает определенный набор офисных приложений и интерпретаторов скриптов. В результате запрета запуска объектов распространение угрозы может быть остановлено.

Запрет запуска объектов работает на основании правил запрета запуска. Правило запрета запуска – это набор критериев, которые приложение Kaspersky Industrial CyberSecurity for Linux Nodes учитывает при реагировании на запуск объекта. Объект должен соответствовать всем критериям правила запрета запуска, чтобы приложение заблокировало его запуск. Приложение идентифицирует файлы по их пути или контрольной сумме с помощью алгоритмов хеширования MD5 и SHA256.

Для работы функциональности запрета запуска объектов должны быть выполнены следующие условия:

• Включена интеграция приложения с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response и / или с приложением Kaspersky Industrial CyberSecurity for Networks.
• Активирован компонент ICS EDR.

Если не включен блокирующий режим перехвата файловых операций, запрет запуска объектов работает в режиме информирования, независимо от установленного режима работы.

По умолчанию запрет запуска объектов выключен.

Включение запрета запуска объектов может повлиять на скорость запуска приложений в операционной системе.

Для работы запрета запуска объектов вам нужно включить применение правил запрета запуска объектов.

Если включено применение правил запрета запуска и в настройках интеграции с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response, и в настройках интеграции с приложением Kaspersky Industrial CyberSecurity for Networks, то применяться будут все правила по принципу ИЛИ с приоритетом блокирующих правил запрета запуска. Например, если параметры запускаемого объекта подпадают под правило запрета запуска с действием Блокировать и под правило запрета запуска с действием Информировать, то объект будет заблокирован.

Особенности работы запрета запуска объектов при интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response

При интеграции приложения Kaspersky Industrial CyberSecurity for Linux Nodes с решением Kaspersky Industrial CyberSecurity Endpoint Detection and Response приложение использует правила запрета запуска объектов ICS EDR. Эти правила вы создаете вручную в Web Console. Вы также можете создавать правила запрета запуска автоматически из окна с деталями алерта.

При интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response вы можете:

• Включать и выключать применение правил запрета запуска объектов ICS EDR в Web Console и в командной строке.
• Создавать и настраивать правила запрета запуска объектов ICS EDR в Web Console.

  Также вы можете создать правило запрета запуска объекта ICS EDR автоматически, запрещая запуск файла в окне с деталями алерта. Правило запрета запуска ICS EDR будет добавлено в политику для группы администрирования, в которую входит устройство.

  Вы можете запрещать запуск файлов в окне с деталями алерта, только если на устройство распространяется действие политики.

• Просматривать в командной строке список правил запрета запуска объектов ICS EDR.

При интеграции с Kaspersky Industrial CyberSecurity Endpoint Detection and Response запрет запуска объектов может работать в одном из двух режимов:

• Блокировать. В этом режиме приложение блокирует запуск объектов или открытие документов, соответствующих критериям правил запрета, и записывает в журнал событие о попытках запуска объектов или открытия документов.

  Приложение Kaspersky Industrial CyberSecurity for Linux Nodes блокирует выполнение скрипта, запрещенного правилом запрета запуска, даже если он импортирован разрешенным скриптом.

• Информировать. В этом режиме приложение записывает в журнал событие о попытках запуска объектов или открытия документов, соответствующих критериям правил запрета, но не блокирует их запуск или открытие. Этот режим выбран по умолчанию.

Особенности работы запрета запуска объектов при интеграции с Kaspersky Industrial CyberSecurity for Networks

При интеграции приложения Kaspersky Industrial CyberSecurity for Linux Nodes с Kaspersky Industrial CyberSecurity for Networks приложение использует правила запрета запуска объектов KICS for Networks. Эти правила приложение получает от Kaspersky Industrial CyberSecurity for Networks.

При интеграции с Kaspersky Industrial CyberSecurity for Networks вы можете:

• Включать и выключать применение правил запрета запуска объектов KICS for Networks в Web Console, Консоли администрирования и в командной строке.
• Просматривать в командной строке список правил запрета запуска объектов KICS for Networks.

При срабатывании правил запрета запуска KICS for Networks приложение Kaspersky Industrial CyberSecurity for Linux Nodes отправляет отчет в Kaspersky Industrial CyberSecurity for Networks.

Ограничения запрета запуска объектов

• Приложение Kaspersky Industrial CyberSecurity for Linux Nodes не блокирует объекты, заданные в правилах запрета запуска до запуска приложения.
• Приложение Kaspersky Industrial CyberSecurity for Linux Nodes не блокирует файлы, открытые до создания или изменения правила запрета запуска.
• Приложение Kaspersky Industrial CyberSecurity for Linux Nodes не блокирует работу с объектами, запущенными до создания или изменения правила запрета запуска и подпадающими под вновь заданные правила.
• Некоторые файлы могут быть критически важными для работы операционной системы и приложения. Запрет запуска таких файлов может нарушить работу системы.
• Не рекомендуется создавать более 50000 правил запрета запуска, поскольку это может привести к нестабильности системы.

В этом разделе Настройка запрета запуска объектов в Web Console Настройка запрета запуска объектов в Консоли администрирования Управление запретом запуска объектов в командной строке

В начало